PrivateLoader मैलवेयर, जो साइबर अपराधियों को अमेरिका और अन्य क्षेत्रों में हजारों संक्रमित कंप्यूटर खरीदने में सक्षम बनाता है, सबसे प्रचलित सुरक्षा खतरों में से एक है। छवि: बीब्राइट / एडोब स्टॉक ) कंप्यूटर पर मैलवेयर की स्थापना का मुद्रीकरण करने के लिए भूमिगत साइबर अपराध में भुगतान-प्रति-इंस्टॉल सेवाओं का उपयोग किया जाता है। साइबर अपराधी जो संक्रमित कंप्यूटरों का नेटवर्क बनाने की क्षमता रखते हैं, फिर उन कंप्यूटरों तक पहुंच बेचते हैं। वह साइबर अपराधी यह सब स्वयं कर सकता है या एक सहयोगी के रूप में पीपीआई आपराधिक संगठन में शामिल हो सकता है। देखें: पासवर्ड उल्लंघन: पॉप संस्कृति और पासवर्ड क्यों नहीं मिलते (मुफ्त पीडीएफ) (TechRepublic) जो लोग संक्रमित कंप्यूटर के नेटवर्क तक पहुंच खरीदते हैं, वे इसे विभिन्न उद्देश्यों के लिए करते हैं, जैसे डीडीओएस संचालन, क्रिप्टोकुरेंसी खनिक या वित्तीय धोखाधड़ी के लिए उपयोगी जानकारी प्राप्त करना।
PrivateLoader कैसे काम करता है? PPI ऑपरेटर्स इंस्टालेशन की संख्या, संक्रमित मशीनों के स्थान और कंप्यूटर सॉफ्टवेयर विनिर्देशों के बारे में जानकारी की निगरानी करना। इसे प्राप्त करने के लिए, वे आम तौर पर संक्रमण के दौरान लोडर का उपयोग करते हैं, जो ट्रैकिंग की अनुमति देता है लेकिन अतिरिक्त पेलोड के प्रबंधन को संक्रमित उपकरणों पर धकेलने में सक्षम बनाता है। यह वह जगह है जहां PrivateLoader आता है, जैसा कि Sekoia द्वारा रिपोर्ट किया गया है।
PrivateLoader साइबर अपराधियों द्वारा उपयोग किए जाने वाले सबसे प्रचलित लोडर में से एक है । यह व्यापक रूप से पीपीआई सेवा के हिस्से के रूप में उपयोग किया जाता है, कई साइबर अपराधियों द्वारा संचालित कई अलग-अलग मैलवेयर परिवारों के वितरण को सक्षम करता है।
मैलवेयर एक मॉड्यूलर लोडर में लिखा गया है सी ++ प्रोग्रामिंग भाषा। यह तीन अलग-अलग मॉड्यूल प्रदर्शित करता है: कोर मॉड्यूल अस्पष्टता, संक्रमित मेजबान फिंगरप्रिंटिंग और एंटी-विश्लेषण तकनीकों के लिए जिम्मेदार है; एक दूसरा मॉड्यूल अतिरिक्त पेलोड को डाउनलोड करने और निष्पादित करने के लिए कमांड और कंट्रोल सर्वर से संपर्क करने के लिए जिम्मेदार है; और एक तीसरा मॉड्यूल दृढ़ता सुनिश्चित करने के लिए ज़िम्मेदार है।
संक्रमित कंप्यूटर और सी 2 के बीच संचार बाइट प्रतिस्थापन और सिंगल बाइट एक्सओआर ऑपरेशन जैसे सरल एल्गोरिदम का उपयोग करके अस्पष्ट हैं। . लोडर पहले अपने कोड में अस्पष्ट हार्डकोडेड यूआरएल तक पहुंचता है, फिर सी 2 सर्वर तक पहुंचने के लिए प्राप्त यूआरएल का अनुरोध करता है। बदले में वह सर्वर अंतिम पेलोड के लिए एक यूआरएल प्रदान करता है। सेकोइया शोधकर्ताओं के अनुसार, पेलोड का अंतिम स्थान वर्ष के दौरान बदल गया है, डिस्कॉर्ड से VK.com या कस्टम URL ( में स्थानांतरित हो रहा है ( चित्राए )। चित्रा ए
छवि: Sekoia.io। PrivateLoader नेटवर्क संचार Sekoia शोधकर्ताओं ने चार अलग-अलग सक्रिय C2 सर्वरों की खोज की पीपीआई सेवा द्वारा संचालित, उनमें से दो चेक गणराज्य और जर्मनी में अन्य दो के साथ रूस में होस्ट किए गए। शोधकर्ताओं ने अद्वितीय C2 . से अधिक पाया है सर्वर, एक बार सुरक्षा विक्रेताओं द्वारा पता लगाए जाने पर बंद होने की संभावना है। कौन से पेलोड वितरित किए जाते हैं? पिछले सप्ताह के PrivateLoader अभियानों ने इन मैलवेयर प्रकारों को वितरित किया: सूचना चोरी करने वाले: रेडलाइन, विदर, रैकून, अनंत काल, सामाजिक, FAbookie, YTStealer, AgentTesla, फीनिक्स और अधिक Ransomware : डीजेवीयू Botnets : Danabot और SmokeLoader क्रिप्टोकुरेंसी माइनर्स : एक्सएमआरआईजी और अधिक कमोडिटी मैलवेयर : डीसीआरएटी, ग्लुप्टेबा, नेटसपोर्ट और निमाइम यह ध्यान रखना दिलचस्प है कि उन सूचनाओं में से कुछ चोरी करने वालों में से कुछ सबसे अधिक उपयोग किए जाते हैं, जैसा कि पहले रिपोर्ट किया गया था। शोधकर्ताओं का सुझाव है कि जहां अधिकांश पीपीआई सेवाएं अपने स्वयं के यातायात वितरण नेटवर्क का उपयोग करती हैं, वहीं कुछ संभवत: ट्रैफिक जनरेशन सेवाओं जैसे कि ट्रैफर्स टीमों द्वारा दी जाने वाली सेवाओं को खरीदते हैं। )रुज़्की पीपीआई कौन है? Sekoia की जांच के कारण PrivateLoader के उपयोग को एक विशेष के साथ जोड़ा गया रूसी भाषी साइबर अपराधियों के समूह पीपीआई को “रुज़्की” कहा जाता है, जिसे “लेसओके” या “ज़िगल्सज़” भी कहा जाता है। ( चित्रा बी )। चित्रा बी छवि: लोल्ज़ गुरु फोरम। Ruski PPI सेवा विज्ञापन। Ruzki की PPI सेवा के बंडल बेचती है दुनिया भर में समझौता किए गए सिस्टम पर स्थित हजार इंस्टॉलेशन।
सितंबर में प्रदान की गई कीमतें $ से लेकर दुनिया भर में इंस्टॉल के मिश्रण के लिए यूडी $1, यूएस-आधारित इंस्टॉल के लिए। The थ्रेट ऐक्टर उन इंस्टाल को एक ही समय में कई ग्राहकों को बेच सकता है या उच्च कीमत पर विशेष एक्सेस बेच सकता है। तक की पेशकश की गई सेवा इसके लॉन्च के समय प्रति दिन इंस्टॉलेशन, फिर भी कोई हालिया डेटा नहीं हो सकता है उनकी क्षमता पर पाया गया। मई के निहितार्थ का पता चला सेकोइया के अनुसार, कई संक्रमण श्रृंखलाओं का लाभ उठाने वाले वेबमास्टर्स, जो उन वेबमास्टरों के पीछे एक या अधिक ट्रैफ़र्स टीम पर भी संदेह करते हैं।
Ruzki PrivateLoader का मालिक है रूजकी सेवाओं के ग्राहकों द्वारा सोशल नेटवर्क पर देखी गई बातचीत में पीपीआई सेवा द्वारा प्रदान किए गए एक यूआरएल का पता चला जो कि प्राइवेट लोडर सी 2 सर्वर से पूरी तरह मेल खाता था। इसके अलावा, रुज़्की ग्राहकों द्वारा उल्लिखित आईपी पते को शोधकर्ताओं द्वारा PrivateLoader C2 के रूप में वर्गीकृत किया गया है।
इसके अतिरिक्त, कई PrivateLoader उदाहरणों ने RedLine मैलवेयर को अंतिम रूप में डाउनलोड किया नीतभार उन रेडलाइन नमूनों में से अधिकांश में रूज़्की के प्रत्यक्ष संदर्भ थे जैसे “रुज़्की,” “रुज़्की 9″ या ” _RUZKI।” अंत में, Sekoia ने सभी PrivateLoader C2 सर्वर से जुड़े एक एकल बॉटनेट की पहचान की।
Ruzki और PrivateLoader उपयोग के बीच इन सभी लिंक को देखकर, शोधकर्ताओं ने उच्च आत्मविश्वास के साथ मूल्यांकन किया कि “PrivateLoader ruzki PPI मैलवेयर सेवा का मालिकाना लोडर है।”
संगठन इस खतरे से खुद को कैसे बचा सकते हैं? पीपीआई सेवाएं मैलवेयर से कंप्यूटर को संक्रमित करने पर आधारित हैं। उन सेवाओं को चलाने वाले विभिन्न ऑपरेटरों के पास कंप्यूटरों को संक्रमित करने के अलग-अलग तरीके हैं, लेकिन सबसे अधिक उपयोग की जाने वाली तकनीकों में से एक वेबसाइटों के नेटवर्क के माध्यम से है जो विभिन्न आकर्षक सॉफ़्टवेयर के लिए “दरारें” प्रदान करने का दावा करती है। इसे पीयर-टू-पीयर नेटवर्क पर आकर्षक सॉफ्टवेयर के सीधे डाउनलोड के माध्यम से भी फैलाया जा सकता है। इसलिए उपयोगकर्ताओं को किसी भी अवैध सॉफ़्टवेयर को कभी भी डाउनलोड न करने और विशेष रूप से क्रैकिंग गतिविधियों से संबंधित कोई निष्पादन योग्य फ़ाइल नहीं चलाने के लिए दृढ़ता से प्रोत्साहित किया जाना चाहिए। यह भी दृढ़ता से सलाह दी जाती है कि सामान्य कमजोरियों से समझौता करने से बचने के लिए, हमेशा ऑपरेटिंग सिस्टम और सभी सॉफ़्टवेयर अद्यतित और पैच किए जाते हैं। मल्टी-फैक्टर प्रमाणीकरण सभी इंटरनेट-फेसिंग सेवाओं पर लागू किया जाना चाहिए ताकि वैध प्रमाण-पत्र रखने वाला हमलावर केवल लॉग इन न कर सके और उपयोगकर्ता का प्रतिरूपण न कर सके। प्रकटीकरण: मैं रुझान के लिए काम करता हूं सूक्ष्म, लेकिन इस लेख में व्यक्त विचार मेरे हैं।
Be First to Comment